防火牆的分類及原理

  防火牆總體上分為包過濾、應用級閘道器和代理伺服器等幾大類型。下面是小編收集整理的,希望對大家有幫助~~

  

  按防火牆結構分類可以劃分為單一主機防火牆、路由器整合式防火牆和分散式防火牆三種。單一主機防火牆是最為傳統的防火牆,它獨立於其他網路裝置,位於網路邊界。

  這種防火牆其實與一臺計算機結構差不多,同樣包括CPU、記憶體、硬碟等基本元件,當然主機板更是不能少了,且主機板上也有南、北橋晶片。它與一般計算機敁主要的區別就是一般防火牆都集成了兩個以上,的乙太網卡,因為它需要連線一個以上的內部及外部網路。

  其中的硬碟主要是W來儲存防火牆所用的基本程式,如包過濾程式和代理伺服器程式等,有的防火牆還把日誌記錄也記錄在此硬碟上。雖然如此,但我們不能說它就與我們平常的PC一樣,因為它的工作性質決定了它要具備非常高的穩定性、實用性及系統喬吐效能。正因為如此,看似與PC差不多的配置,其兩者的價格卻相差甚遠。

  隨著防火牆技術的發展及應用需求的提高,原來作為單一主機的防火牆現在已發生了許多變化。沿明顯的變化就是現在許多中高檔的路由器中巳集成了防火牆功能,還有的防火牆已不再是一個獨立的硬體實體,而是由多個軟硬體組成的系統。原來單一主機的防火牆由於價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業M絡投資,現在許多中高檔路由器中集成了防火牆功能,如Ciscoios防火牆系列。但這種防火牆通常是較低階的包過濾勸。

  這樣企業就不用再同時購買路由器和防火牆,大大降低了網路裝置購買成本。分散式防火牆再也不是隻位於網路邊界,而是滲透於網路的每一臺主機,對整個內部網路的主機實施保護。在網路伺服器中,通常會安裝一個用於防火牆系統管理的軟體,在伺服器及各主機上安裝有整合網絡卡功能的PCI防火牆卡,這樣一塊防火牆卡同時兼有網絡卡和防火牆的雙重功能。

  這樣一個防火牆系統就可以徹底保護內部網路。各主機把任何並他主機發送的通訊連線都視為“不可信”的,都需要經過嚴格過濾,而不是像傳統邊界防火牆那樣,僅對外部網路發出的通訊請求“不信任”。

  防火牆NAT原理及分類

  影響P2P通訊一個很關鍵的因素是NAT,由於IPV4的地址有限,所以很多在私網後的計算器是通過防火牆的NAT轉換完的對映地址訪問網路上的資源的.不同的防火牆NAT後的計算機節點很可能是一樣的私網IP地址,這樣兩個處在防火牆NAT後的計算機節點無法找到對方的地址並傳送資料的,這些私網後的計算機只能和有公網IP地址的計算機通訊,只有獲得了公網地址的計算機才有可能處於不同NAT後的計算機節點做轉發資料工作,這也是多數P2P軟體穿越防火牆的根本原理.

  P2P資料都大多數是UDP包,通過這種NAT轉換後可以到達目的節點的過程叫NAT穿越.防火牆限制私網和公網通訊,典型的作用如丟棄未驗證的資料包.但防火牆不對包的具體內容改變,無論TCP/UDP他們的IP地址和埠資訊都不會變.他通過邊界的資料包頭來允許私網的機器通過有限的公網IP訪問外網,下面介紹幾種NAT型別,他們關係到P2P軟體的設計實現,

  Basic NAT

  基本NAT轉換不會把私網點IP地址對映到公網IP地址,不改變TCP/UDP資料包的埠

  NetWork Address/Port Translator*** NAPT ***

  NAPT 檢查並改變IP地址和TCP/UDP資料包的埠地址

  Cone NAT

  在建立每次的新會話建立時***私網到公網***,原來的已經開啟的埠會被使用,只要有通訊這個埠不會關閉.

  Symmetric NAT***對稱NAT***

  對稱NAT會在每次的新會話時***私網到公網***,重新分配一個埠給會話.

  Full Cone NAT***全向NAT***

  一旦會話建立,全向NAT的通訊可以對任意的公網地址做通訊.

  Restricted Cone NAT

  埠受限的NAT不光對已經通訊的外部IP地址做捆綁而且對相關的通訊埠做捆綁,所以即使是已經建立通訊的IP地址,它的其他埠發來的資料包也會被拒絕,這在限制級別上和對稱NAT一樣.要想正常的完成最終的通訊,特別是在NAT後的計算機,根據前面的介紹,我們需要找到合適的技術來對實現穿越防火牆的機制,完成處理不同的NAT後的計算機間P2P通訊,在埠控制嚴格的後兩種NAT後的計算機節點通訊,一定要處於公網的計算機做轉發工作.
相關文章:

1.防火牆分類及原理

2.防火牆種類和工作原理介紹

3.防火牆按照工作原理分類可以分為哪些

4.防火牆的原理及應用

5.包過濾防火牆工作原理

6.防火牆技術的研究以及發展

7.硬體防火牆的原理是什麼